CN116471345B - 一种数据通信方法、装置、设备及介质 - Google Patents

一种数据通信方法、装置、设备及介质 Download PDF

Info

Publication number
CN116471345B
CN116471345B CN202310721640.0A CN202310721640A CN116471345B CN 116471345 B CN116471345 B CN 116471345B CN 202310721640 A CN202310721640 A CN 202310721640A CN 116471345 B CN116471345 B CN 116471345B
Authority
CN
China
Prior art keywords
transmission control
control protocol
load
data segment
encapsulation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310721640.0A
Other languages
English (en)
Other versions
CN116471345A (zh
Inventor
宗琪
周强
龙杨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Network Security Technology Co ltd
Original Assignee
China Electronics Technology Network Security Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronics Technology Network Security Technology Co ltd filed Critical China Electronics Technology Network Security Technology Co ltd
Priority to CN202310721640.0A priority Critical patent/CN116471345B/zh
Publication of CN116471345A publication Critical patent/CN116471345A/zh
Application granted granted Critical
Publication of CN116471345B publication Critical patent/CN116471345B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B7/00Radio transmission systems, i.e. using radiation field
    • H04B7/14Relay systems
    • H04B7/15Active relay systems
    • H04B7/185Space-based or airborne stations; Stations for satellite systems
    • H04B7/1851Systems using a satellite or space-based relay
    • H04B7/18513Transmission in a satellite or space-based system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/24Negotiation of communication capabilities
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Astronomy & Astrophysics (AREA)
  • Aviation & Aerospace Engineering (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种数据通信方法、装置、设备及介质,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,涉及卫星通信技术领域,包括:对原始业务数据进行封装得到封装安全载荷数据段;将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;通过卫星传输控制协议链路将传输控制协议报文发送至服务端,以便服务端在对传输控制协议报文校验无误后提取封装安全载荷数据段,对封装安全载荷数据段进行解封装原始业务数据。本申请对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高了传输速率和带宽利用率。

Description

一种数据通信方法、装置、设备及介质
技术领域
本发明涉及卫星通信技术领域,特别涉及一种数据通信方法、装置、设备及介质。
背景技术
当前,随着卫星技术的普及、卫星通信使用者的网络安全意识提高及近些年逐渐发生利用卫星链路对卫星通信使用者发生的网络攻击。由于对卫星进行安全通信加固困难较大,不易实现,现在往往采用在总部基地与远端小站部署IPSEC VPN(Internet ProtocolSecurity Virtual Private Network)对用户通信数据包进行网络传输保护。
在未部署VPN网关与VPN装置前,远端业务系统与总部基地的办公系统、业务系统之前采用TCP(Transmission Control Protocol,传输控制协议)传输业务数据,这些业务数据在总部基地与远端小站之间的网络中明文传输。在部署VPN网关与VPN装置后,总部基地与远端小站之间的网络数据得到保护,可防窃听、防篡改。
但在卫星链路的环境中,使用VPN技术会降低现有卫星链路的传输速率及带宽利用率,从而增加了企业使用卫星通信的成本。
综上所述,如何提高现有卫星链路的传输速率及带宽利用率是当前亟待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种数据通信方法、装置、设备及介质,能够提高传输速度和带宽利用率,其具体方案如下:
第一方面,本申请公开了一种数据通信方法,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,所述方法包括:
利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;
将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;
通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
可选的,所述利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段,包括:
将对原始业务数据的用于扩充长度的填充内容作为封装安全载荷尾;
利用安全关联指定的加密方法对所述原始业务数据和所述封装安全载荷尾进行加密得到加密后数据段,并将所述安全关联对应的安全参数索引和序列号作为封装安全载荷头;
对所述加密后数据段和所述封装安全载荷头进行完整性认证得到完整性校验值,将所述完整性校验值作为封装安全载荷认证数据;
基于所述加密后数据段、所述封装安全载荷头和所述封装安全载荷认证数据得到封装安全载荷数据段。
可选的,所述将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文之前,还包括:
若所述客户端与所述服务端之间未建立传输控制协议连接,则通过本地第一预设端口向所述服务端的第二预设端口发送传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接。
可选的,所述将所述封装安全载荷数据段作为传输控制协议载荷,并对所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文,包括:
将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述网际互连协议头携带有所述网际互连协议头对应的第二校验和。
可选的,所述通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据,包括:
通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和校验无误,且确定所述传输控制协议报文对应的源端口为所述第一预设端口以及目标端口为所述第二预设端口后提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
可选的,所述通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,包括:
若所述传输控制协议报文的长度大于最大传输单元,则对所述传输控制协议报文进行分片处理得到长度小于或等于所述最大传输单元的若干片段;
通过卫星传输控制协议链路将所述若干片段发送至所述服务端,以便所述服务端在对所述若干片段进行合片处理后得到所述传输控制协议报文。
第二方面,本申请公开了一种数据通信方法,应用于服务端,虚拟专用网络网关与虚拟专用网络装置互为客户端和所述服务端,所述方法包括:
获取所述客户端通过卫星传输控制协议链路发送的传输控制协议报文;所述传输控制协议报文为所述客户端将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装得到的报文;所述封装安全载荷数据段为所述客户端利用封装安全载荷方法对原始业务数据进行封装得到的数据段;
对所述传输控制协议报文进行校验,然后在校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
第三方面,本申请公开了一种数据通信装置,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,所述装置包括:
第一封装模块,用于利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;
第二封装模块,用于将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;
报文传输模块,用于通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
第四方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的数据通信方法。
第五方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的数据通信方法。
可见,本申请利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。由此可见,本申请对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高传输速率和带宽利用率,进一步降低卫星通信成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种数据通信方法流程图;
图2为本申请公开的一种原始业务数据示意图;
图3为本申请公开的一种传输控制协议报文示意图;
图4为本申请公开的一种封装后报文示意图;
图5为本申请公开的一种具体的数据通信方法流程图;
图6为本申请公开的一种数据通信方法流程图;
图7为本申请公开的一种客户端业务数据出站过程示意图;
图8为本申请公开的一种服务端业务数据入站过程示意图;
图9为本申请公开的一种数据通信装置结构示意图;
图10为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在卫星链路的环境中,使用VPN技术会降低现有卫星链路的传输速率及带宽利用率,从而增加了企业使用卫星通信的成本。
为此,本申请实施例提出一种数据通信方案,能够提高传输速度和带宽利用率
本申请实施例公开了一种数据通信方法,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,参见图1所示,该方法包括:
步骤S11:利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段。
本实施例中,所述原始业务数据为IPv4报文;具体参见图2所示,为原始业务数据示意图,所述原始业务数据由原IP(Internet Protocol,网际互连协议)头、协议头(如TCP)和协议载荷构成。
本实施例中,所述利用封装安全载荷方法(ESP,Encapsulate Security Payload)对原始业务数据进行封装得到封装安全载荷数据段,包括:将对原始业务数据的用于扩充长度的填充内容作为封装安全载荷尾;利用安全关联指定的加密方法对所述原始业务数据和所述封装安全载荷尾进行加密得到加密后数据段,并将所述安全关联对应的安全参数索引和序列号作为封装安全载荷头;对所述加密后数据段和所述封装安全载荷头进行完整性认证得到完整性校验值,将所述完整性校验值作为封装安全载荷认证数据;基于所述加密后数据段、所述封装安全载荷头和所述封装安全载荷认证数据得到封装安全载荷数据段。
需要指出的是,所述封装安全载荷数据段中各部分的顺序依次为所述封装安全载荷头、所述加密后数据段和所述封装安全载荷认证数据;其中,所述加密后数据段包括所述原始业务数据和所述封装安全载荷尾。
需要指出的是,所述安全关联(SA,SecurityAssociation)是根据本地策略查找得到的,只有符合本地策略的原始业务数据才能够进行加密处理;所述本地策略为IPSEC(Internet Protocol Security,互联网安全)协议规范中的SP策略(安全策略);所述SP策略包括SPI密钥索引也即安全参数索引;所述SP策略的内容为:源/目的IP+协议+源/目的端口+SPI。
步骤S12:将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文。
本实施例中,对封装安全载荷数据段进行传输控制协议封装得到传输控制协议报文,以便于后续通过卫星传输控制协议链路传输报文。
本实施例中,若客户端和服务端之间没有建立传输控制协议连接,则需要建立连接,然后才可以进行报文传输。具体的,所述将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文之前,还包括:若所述客户端与所述服务端之间未建立传输控制协议连接,则通过本地第一预设端口向所述服务端的第二预设端口发送传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接。
需要指出的是,所述客户端的所述第一预设端口为6789端口,所述服务端的第二预设端口为9876端口。
本实施例中,所述将所述封装安全载荷数据段作为传输控制协议载荷,并对所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文,包括:将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述传输控制协议头携带有所述网际互连协议头对应的第二校验和。
需要指出的是,所述第一校验和为基于所述传输控制协议头计算得到的校验和;所述第二校验和为基于所述传输控制协议头计算得到的校验和。
参见图3所示,为传输控制协议报文示意图,所述传输控制协议报文包括新建外部IP头(网际互连协议头)、新建外部TCP头(传输控制协议头)和所述封装安全载荷数据段;根据上述封装过程,确定加密范围包括原IP头、协议头、协议载荷和ESP尾;所述认证范围包括ESP头、原IP头、协议头、协议载荷和ESP尾;所述TCP载荷包括ESP头、原IP头、协议头、协议载荷、ESP尾和ESP认证数据;其中,所述传输控制协议报文与图4所示现有方法的封装后报文相比,第一,新建外部IP头不同,现有方法的封装后报文的协议字段为50(ESP协议),所述传输控制协议报文的新建外部IP头的协议字段为6(TCP协议);第二,在所述新建外部IP头和所述ESP头之间增加了所述新建外部TCP头,以将所述封装安全载荷数据段作为传输控制协议载荷。
步骤S13:通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
本实施例中,所述通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据,包括:通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和校验无误,且确定所述传输控制协议报文对应的源端口为所述第一预设端口以及目标端口为所述第二预设端口后提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
需要指出的是,首先对所述第一校验和、所述传输控制协议报文对应的类型和目标长度进行校验,若校验未通过,则将所述传输控制协议报文丢弃,若校验通过,则继续对所述第二校验和进行校验,若校验未通过,则将所述传输控制协议报文丢弃,若校验通过,则确定所述传输控制协议报文对应的源端口是否为所述第一预设端口以及目标端口是否为所述第二预设端口,若不都是,则将所述传输控制协议报文丢弃,若都是,则提取所述封装安全载荷数据段。
需要指出的是,所述传输控制协议报文对应的类型为IPv4报文,所述目标长度为所述传输控制协议报文的新建外部IP头的长度,所述目标长度至少是20字节。需要指出的是,对所述第一校验和以及所述第二校验和进行校验具体是,在所述服务端计算所述传输控制协议头对应的校验和并与所述第一校验比较,若一致则校验无误;在所述服务端计算所述网际互连协议头传对应的校验和并与所述第二校验比较,若一致则校验无误。
本实施例中,所述服务端获取所述原始业务数据后,如果所述原始业务数据符合所述服务端本地的SP策略,则将所述原始业务数据发送至内部局域网。
可见,本申请利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。由此可见,本申请对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高传输速率和带宽利用率,进一步降低卫星通信成本。
本申请实施例公开了一种数据通信方法,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,相对于上一实施例,本实施例对技术方案作了进一步的说明和优化。参见图5所示,该方法包括:
步骤S21:利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段。
其中,关于步骤S21的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
步骤S22:将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文。
其中,关于步骤S22的更加具体的处理过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
步骤S23:若所述传输控制协议报文的长度大于最大传输单元,则对所述传输控制协议报文进行分片处理得到长度小于或等于所述最大传输单元的若干片段。
本实施例中,当所述传输控制协议报文的长度大于最大传输单元(MTU,MaximumTransmission Unit)时,卫星传输控制协议链路无法传输所述传输控制协议报文,因此需要将所述传输控制协议报文分开传输。
本实施例中,具体分片处理可以是依次将所述传输控制协议报文分为大小为最大传输单元的片段,最后一个片段可以等于所述最大传输单元也可以小于所述最大传输单元。
步骤S24:通过卫星传输控制协议链路将所述若干片段发送至所述服务端,以便所述服务端在对所述若干片段进行合片处理后得到所述传输控制协议报文,然后在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
可见,本申请对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高传输速率和带宽利用率,进一步降低卫星通信成本;另外,本申请在所述传输控制协议报文的长度大于最大传输单元时,对所述传输控制协议报文进行分片处理,便于传输。
本申请实施例公开了一种具体的数据通信方法,应用于服务端,虚拟专用网络网关与虚拟专用网络装置互为客户端和所述服务端,参见图6所示,具体包括:
步骤S31:获取所述客户端通过卫星传输控制协议链路发送的传输控制协议报文;所述传输控制协议报文为所述客户端将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装得到的报文;所述封装安全载荷数据段为所述客户端利用封装安全载荷方法对原始业务数据进行封装得到的数据段。
本实施例中,所述为所述客户端将所述封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装,具体是,为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述传输控制协议头携带有所述网际互连协议头对应的第二校验和。
本实施例中,若客户端和服务端之间没有建立传输控制协议连接,则需要建立连接,然后才可以进行报文传输。具体的,若所述客户端与所述服务端之间未建立传输控制协议连接,则需要客户端通过客户端的第一预设端口向所述服务端的第二预设端口发送传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接。
步骤S32:对所述传输控制协议报文进行校验,然后在校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
本实施例中,对所述传输控制协议报文进行校验,具体是:所述服务端获取传输控制协议报文后,对所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和进行校验,且确定所述传输控制协议报文对应的源端口是否为所述第一预设端口以及目标端口是否为所述第二预设端口,若校验无误且都是对应端口,则提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
需要指出的是,所述第一校验和为基于所述传输控制协议头计算得到的校验和;所述第二校验和为基于所述传输控制协议头计算得到的校验和。
本实施例中,对所述第一校验和以及所述第二校验和进行校验具体是,在所述服务端计算所述传输控制协议头对应的校验和并与所述第一校验比较,若一致则校验无误;在所述服务端计算所述网际互连协议头传对应的校验和并与所述第二校验比较,若一致则校验无误。
可见,获取所述客户端通过卫星传输控制协议链路发送的传输控制协议报文;所述传输控制协议报文为所述客户端将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装得到的报文;所述封装安全载荷数据段为所述客户端利用封装安全载荷方法对原始业务数据进行封装得到的数据段;对所述传输控制协议报文进行校验,然后在校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。此可见,本申请客户端对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高传输速率和带宽利用率,进一步降低卫星通信成本。
参见图7所示,为客户端业务数据出站过程示意图,若原始业务数据符合本地策略SP,则根据本地策略查找得到安全关联(SA),进行ESP封装,判断是否有端口6789到端口9876的TCP连接;若没有,则建立端口6789到端口9876的TCP连接,然后将ESP封装后设为数据作为TCP载荷,若有,则直接建立端口6789到端口9876的TCP连接;之后构造TCP头部,计算TCP头部校验和(第一校验和),构造新建IP头部,计算新建IP头部的校验和(第二校验和);然后得到报文并发送报文,若报文大于最大传输单元,则将报文进行分片处理再发送。需要指出的是,进行ESP封装具体是原始业务数据根据本地策略SP查找SA后,将整个原始业务数据封装到ESP载荷中。然后对报文添加所需要的填充,并使用SA指定的密钥、加密算法对图3所示加密范围内的数据进行加密。最后将SA的SPI及产生一组序列号填充ESP头部,对图3所示认证范围内的数据进行完整性认证并填充至ESP认证数据区域。如此便得到了ESP数据段。
参见图8所示,为服务端业务数据入站过程示意图;首先获取报文,目的IP为本服务端的报文继续处理,其它转发;若报文为分片包,则进行合片处理;之后对所述第一校验和、所述传输控制协议报文对应的类型和目标长度进行校验,若校验未通过,则将所述传输控制协议报文丢弃,若校验通过,则继续对所述第二校验和进行校验,若校验未通过,则将所述传输控制协议报文丢弃,若校验通过,则确定所述传输控制协议报文对应的源端口是否为所述第一预设端口(6789)以及目标端口是否为所述第二预设端口(9876),若不都是,则将所述传输控制协议报文丢弃,若都是,则提取所述封装安全载荷数据段,对所述封装安全载荷数据段进行解封装得到所述原始业务数据,若所述原始业务数据符合所述服务端本地的SP策略,则将所述原始业务数据发送至内部局域网。需要指出的是,对所述封装安全载荷数据段进行解封装得到所述原始业务数据具体是查找本服务端端SA,并使用ESP头部中的序列号进行抗重放验证,丢弃重放的ESP报文。对图3所示认证范围内的数据进行完整性计算并检验是否与ESP认证数据区域内容一致,丢弃结果不一致的ESP报文,使用本端SA指定的密钥、加密算法对图3所示加密范围内的数据进行解密,对得到的内容去掉填充部分,最终得到原始业务数据。
相应的,本申请实施例还公开了一种数据通信装置,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端参见图9所示,该装置包括:
第一封装模块11,用于利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;
第二封装模块12,用于将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;
报文传输模块13,用于通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
其中,关于上述各个模块更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
可见,本申请对封装安全载荷数据段进行传输控制协议封装,使得通过卫星传输控制协议链路传输传输控制协议报文时,提高传输速率和带宽利用率,进一步降低卫星通信成本。
进一步的,本申请实施例还提供了一种电子设备。图10是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图10为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、显示屏23、输入输出接口24、通信接口25、电源26和通信总线27。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的数据通信方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源26用于为电子设备20上的各硬件设备提供工作电压;通信接口25能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口24,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括计算机程序221,存储方式可以是短暂存储或者永久存储。其中,计算机程序221除了包括能够用于完成前述任一实施例公开的由电子设备20执行的数据通信方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的数据通信方法。
关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本申请书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种数据通信方法、装置、设备、存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (6)

1.一种数据通信方法,其特征在于,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,所述方法包括:
利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;
将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;
通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据;
其中,所述利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段,包括:
将对原始业务数据的用于扩充长度的填充内容作为封装安全载荷尾;
利用安全关联指定的加密方法对所述原始业务数据和所述封装安全载荷尾进行加密得到加密后数据段,并将所述安全关联对应的安全参数索引和序列号作为封装安全载荷头;
对所述加密后数据段和所述封装安全载荷头进行完整性认证得到完整性校验值,将所述完整性校验值作为封装安全载荷认证数据;
基于所述加密后数据段、所述封装安全载荷头和所述封装安全载荷认证数据得到封装安全载荷数据段;
其中,所述将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文之前,还包括:
若所述客户端与所述服务端之间未建立传输控制协议连接,则通过本地第一预设端口向所述服务端的第二预设端口发送传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接;
其中,所述将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文,包括:
将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述网际互连协议头携带有所述网际互连协议头对应的第二校验和;
其中,所述通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据,包括:
通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和校验无误,且确定所述传输控制协议报文对应的源端口为所述第一预设端口以及目标端口为所述第二预设端口后提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
2.根据权利要求1所述的数据通信方法,其特征在于,所述通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,包括:
若所述传输控制协议报文的长度大于最大传输单元,则对所述传输控制协议报文进行分片处理得到长度小于或等于所述最大传输单元的若干片段;
通过卫星传输控制协议链路将所述若干片段发送至所述服务端,以便所述服务端在对所述若干片段进行合片处理后得到所述传输控制协议报文。
3.一种数据通信方法,其特征在于,应用于服务端,虚拟专用网络网关与虚拟专用网络装置互为客户端和所述服务端,所述方法包括:
获取所述客户端通过卫星传输控制协议链路发送的传输控制协议报文;所述传输控制协议报文为所述客户端将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装得到的报文;所述封装安全载荷数据段为所述客户端利用封装安全载荷方法对原始业务数据进行封装得到的数据段;
对所述传输控制协议报文进行校验,然后在校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据;
其中,所述利用封装安全载荷方法对原始业务数据进行封装,包括:
将对原始业务数据的用于扩充长度的填充内容作为封装安全载荷尾;
利用安全关联指定的加密方法对所述原始业务数据和所述封装安全载荷尾进行加密得到加密后数据段,并将所述安全关联对应的安全参数索引和序列号作为封装安全载荷头;
对所述加密后数据段和所述封装安全载荷头进行完整性认证得到完整性校验值,将所述完整性校验值作为封装安全载荷认证数据;
基于所述加密后数据段、所述封装安全载荷头和所述封装安全载荷认证数据得到所述封装安全载荷数据段;
其中,所述获取所述客户端通过卫星传输控制协议链路发送的传输控制协议报文之前,还包括:
获取所述客户端在所述客户端与所述服务端之间未建立传输控制协议连接时,通过所述客户端的第一预设端口向所述服务端的第二预设端口发送的传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接;
其中,所述将封装安全载荷数据段作为传输控制协议载荷进行传输控制协议封装,包括:
将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述网际互连协议头携带有所述网际互连协议头对应的第二校验和;
其中,所述对所述传输控制协议报文进行校验,然后在校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据,包括:
对所述传输控制协议报文的所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和进行校验;
若校验无误,则判断所述传输控制协议报文对应的源端口是否为所述第一预设端口以及目标端口是否为所述第二预设端口;
若是,则提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
4.一种数据通信装置,其特征在于,应用于客户端,虚拟专用网络网关与虚拟专用网络装置互为所述客户端和服务端,所述装置包括:
第一封装模块,用于利用封装安全载荷方法对原始业务数据进行封装得到封装安全载荷数据段;
第二封装模块,用于将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷进行传输控制协议封装得到传输控制协议报文;
报文传输模块,用于通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述传输控制协议报文校验无误后提取所述封装安全载荷数据段,并对所述封装安全载荷数据段进行解封装得到所述原始业务数据;
其中,所述第一封装模块,具体用于将对原始业务数据的用于扩充长度的填充内容作为封装安全载荷尾;
利用安全关联指定的加密方法对所述原始业务数据和所述封装安全载荷尾进行加密得到加密后数据段,并将所述安全关联对应的安全参数索引和序列号作为封装安全载荷头;
对所述加密后数据段和所述封装安全载荷头进行完整性认证得到完整性校验值,将所述完整性校验值作为封装安全载荷认证数据;
基于所述加密后数据段、所述封装安全载荷头和所述封装安全载荷认证数据得到封装安全载荷数据段;
其中,所述数据通信装置,还包括:
传输控制协议连接建立模块,用于若所述客户端与所述服务端之间未建立传输控制协议连接,则通过本地第一预设端口向所述服务端的第二预设端口发送传输控制协议连接请求,以便建立所述客户端的所述第一预设端口与所述服务端的所述第二预设端口之间的传输控制协议连接;
其中,所述第二封装模块,包括:
第二封装单元,用于将所述封装安全载荷数据段作为传输控制协议载荷,并为所述传输控制协议载荷依次添加传输控制协议头和网际互连协议头进行传输控制协议封装得到传输控制协议报文;所述传输控制协议头携带有所述传输控制协议头对应的第一校验和;所述网际互连协议头携带有所述网际互连协议头对应的第二校验和;
其中,所述报文传输模块,包括:
报文传输单元,用于通过卫星传输控制协议链路将所述传输控制协议报文发送至所述服务端,以便所述服务端在对所述第一校验和、所述传输控制协议报文对应的类型和目标长度以及所述第二校验和校验无误,且确定所述传输控制协议报文对应的源端口为所述第一预设端口以及目标端口为所述第二预设端口后提取所述封装安全载荷数据段,然后对所述封装安全载荷数据段进行解封装得到所述原始业务数据。
5.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至3任一项所述的数据通信方法。
6.一种计算机可读存储介质,其特征在于,用于保存计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述的数据通信方法。
CN202310721640.0A 2023-06-19 2023-06-19 一种数据通信方法、装置、设备及介质 Active CN116471345B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310721640.0A CN116471345B (zh) 2023-06-19 2023-06-19 一种数据通信方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310721640.0A CN116471345B (zh) 2023-06-19 2023-06-19 一种数据通信方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116471345A CN116471345A (zh) 2023-07-21
CN116471345B true CN116471345B (zh) 2023-10-20

Family

ID=87173930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310721640.0A Active CN116471345B (zh) 2023-06-19 2023-06-19 一种数据通信方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116471345B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381034A (zh) * 2019-06-25 2019-10-25 苏州浪潮智能科技有限公司 一种报文处理方法、装置、设备及可读存储介质
CN111614691A (zh) * 2020-05-28 2020-09-01 广东纬德信息科技股份有限公司 一种基于电力网关的出站报文处理方法及装置
CN112260926A (zh) * 2020-10-16 2021-01-22 上海叠念信息科技有限公司 虚拟专用网络的数据传输系统、方法、装置、设备及存储介质
CN112422396A (zh) * 2020-11-04 2021-02-26 郑州信大捷安信息技术股份有限公司 一种基于sslvpn通道的tcp网络传输加速方法和系统
CN112448918A (zh) * 2019-08-29 2021-03-05 华为技术有限公司 报文传输方法及装置、计算机存储介质
CN114244577A (zh) * 2021-11-24 2022-03-25 贵州电网有限责任公司 一种基于esp的报文处理方法
WO2023069803A1 (en) * 2021-10-22 2023-04-27 Qualcomm Incorporated Reflective quality of service for encapsulating security payload packets

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7426566B2 (en) * 2001-01-17 2008-09-16 International Business Machines Corporation Methods, systems and computer program products for security processing inbound communications in a cluster computing environment
US9294506B2 (en) * 2010-05-17 2016-03-22 Certes Networks, Inc. Method and apparatus for security encapsulating IP datagrams
US10506082B2 (en) * 2017-03-09 2019-12-10 Fortinet, Inc. High availability (HA) internet protocol security (IPSEC) virtual private network (VPN) client

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110381034A (zh) * 2019-06-25 2019-10-25 苏州浪潮智能科技有限公司 一种报文处理方法、装置、设备及可读存储介质
CN112448918A (zh) * 2019-08-29 2021-03-05 华为技术有限公司 报文传输方法及装置、计算机存储介质
CN111614691A (zh) * 2020-05-28 2020-09-01 广东纬德信息科技股份有限公司 一种基于电力网关的出站报文处理方法及装置
CN112260926A (zh) * 2020-10-16 2021-01-22 上海叠念信息科技有限公司 虚拟专用网络的数据传输系统、方法、装置、设备及存储介质
CN112422396A (zh) * 2020-11-04 2021-02-26 郑州信大捷安信息技术股份有限公司 一种基于sslvpn通道的tcp网络传输加速方法和系统
WO2023069803A1 (en) * 2021-10-22 2023-04-27 Qualcomm Incorporated Reflective quality of service for encapsulating security payload packets
CN114244577A (zh) * 2021-11-24 2022-03-25 贵州电网有限责任公司 一种基于esp的报文处理方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
What is Encapsulating Security Payload in Network Security?;Logsign Team;《Logsign》;全文 *
安全路由网关中VPN模块的分析与测试;焦曦光;《中国优秀硕士学位论文全文数据库(信息科技辑)》(第08期);全文 *

Also Published As

Publication number Publication date
CN116471345A (zh) 2023-07-21

Similar Documents

Publication Publication Date Title
US11283772B2 (en) Method and system for sending a message through a secure connection
US7360083B1 (en) Method and system for providing end-to-end security solutions to aid protocol acceleration over networks using selective layer encryption
US8379638B2 (en) Security encapsulation of ethernet frames
CN103929299B (zh) 地址即公钥的自安全轻量级网络报文传输方法
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
JP2004295891A (ja) パケットペイロードを認証する方法
WO2005082040A2 (en) Method and system for providing end-to-end security solutions and protocol acceleration over networks using selective layer encryption
CN114244577A (zh) 一种基于esp的报文处理方法
CN116471345B (zh) 一种数据通信方法、装置、设备及介质
CN109639721B (zh) IPsec报文格式处理方法、装置、设备及存储介质
CN115225414A (zh) 基于ipsec的加密策略匹配方法、装置及通信系统
US20230239279A1 (en) Method and apparatus for security communication
CN112104635B (zh) 通信方法、系统和网络设备
CN101360096B (zh) 一种应用于数字医疗的系统安全规划方法
CN113746861A (zh) 基于国密技术的数据传输加密、解密方法及加解密系统
CN110351308B (zh) 一种虚拟专用网络通信方法和虚拟专用网络设备
CN114039812A (zh) 数据传输通道建立方法、装置、计算机设备和存储介质
CN116488812B (zh) 一种业务数据处理方法、装置、电子设备和存储介质
CN116489244B (zh) 一种业务数据处理方法、装置、电子设备和存储介质
CN117201200B (zh) 基于协议栈的数据安全传输方法
JP6075871B2 (ja) ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム
KR100522090B1 (ko) IPv6 계층에서의 패킷 보호 방법
KR102086489B1 (ko) 기설정된 운영체제에서 송신되는 패킷의 보안을 위해서 보안 소켓 계층을 복호화하는 방법
CN116232670A (zh) 一种基于rdma网络密码机的实现方法
CN116866450A (zh) 数据传输方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant